Senin, 15 Februari 2016



KEAMANAN INFORMASI
Disusun oleh:
1.     Muhammad Yozario                   NPM.          13110418
2.     Nunung Wulandari                    NPM.          13110435
3.     Okto Firmansah Telaumbanua NPM.          13110269
4.     Rizka Dwi Syahputri                  NPM.          13110072
5.     Togi Adong Mulana Sihaloho             NPM.          13110270

                                                           Kelompok   : IX
                                               Kelas           : B – Sore

SEKOLAH TINGGI ILMU EKONOMI BINA KARYA
TEBINGTINGGI
2015

DAFTAR ISI

Daftar Isi......................................................................................................................... (i)
I.   Kebutuhan Organisasi akan Keamanan dan Pengendalian Keamanan Informasi.......... 1
II.  Manajemen Keamanan Informasi (Information Security Manajgement)....................... 1
       a. Tujuan Keamanan Informasi................................................................................... 1
       b.  Tahapan Manajemen Keamanan Informasi............................................................ 2
       c. Strategi dalam manajemen keamanan informasi...................................................... 2
III.  Ancaman dan Jenis Ancaman...................................................................................... 2
      a. Jenis piranti lunak yang berbahaya........................................................................... 3
      b. Hacker dan Cracker ...................................................................................................      3
      c. Jenis gangguan computer....................................................................................... 4-5
IV.   Resiko Keamanan Information (Information Security Risk)....................................... 6
V.  Persoalan e-Commerce................................................................................................. 6
      a. Pengertian e-Commerce............................................................................................ 6
      b. Beberapa masalah pada e-Commerce....................................................................... 7
VI.  Kebijakan Keamanan Informasi .............................................................................. 8-9
VII. Pengendalian  Teknis, Formal dan Informal................................................................ 9
        a. Macam – Macam Pengendalian....................................................................... 10-13
VIII. Mencapai Tingkat Pengendalian  yang Tepat .......................................................... 14
IX.  Dukungan Pemerintah dan Industri...................................................................... 14-15
       a. Pembagian UUITE................................................................................................. 15
X.  Meletakkan Manajemen Keamanan Informasi pada Tempatnya................................. 16
XI. Manajemen Keberlangsungan Bisnis..................................................................... 16-17
Kesimpulan dan Saran.......................................................................................................... 18-19
Daftar Pustaka.......................................................................................................................... (ii)
KEAMANAN INFORMASI

I.                   KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGANDALIAN KEAMANAN INFORMASI
Pada era globalisasi ini, tidak dapat kita pungkiri bahwa banyak organisasi yang menggunakan sumber daya vitual sebagai pusat informasi segala kegiatan organisasinya. Untuk itu mereka memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman dari tindak kriminal dunia maya (cyber crime).
Keamanan pada dasarnya bukan hanya merujuk kepada serangan terhadap sistem informasi, melainkan juga kesesuaian penggunaan sistem informasi dengan aturan sehingga mencapai sasaran yang telah ditetapkan sebelumnya. Jadi, cakupan keamanan di sini lebih luas dan pada dasarnya adalah pengendalian. Pengendalian itu perlu dilakukan secara terus menerus baik pengendalian secara umum maupun  pengendalian secara aplikasi.

II.                MANAJEMEN KEAMANAN INFORMASI (INFORMATION SECURITY MANAGEMENT)
Manajemen keamanan informasi merupakan aktivitas untuk menjaga agar sumber daya informasi tetap aman. Manajemen tidak hanya diharapkan untuk menjaga  sumber daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan.

a)      Tujuan Keamanan Informasi
Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
  1. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
  2. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
  3. Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
b)      Pada bentuknya yang paling dasar, manajemen  keamanan informasi terdiri atas empat tahap yakni:
a Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
b.  Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c.  Menentukan kebijakan keamanan informasi
d.  Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
c)      Strategi yang digunakan dalam manajemen  keamanan informasi, yaitu:
 1. Manajemen Resiko (Risk Management)
Manajemen resiko dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
2.  Tolak Ukur (Benchmark)
Tolak ukur adalah tingkat keamanan yang disarankan dalam keadaan normal harus memberikan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Tolak ukur ditentukan oleh pemerintah dan asosiasi organisasi serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas tersebut.
         Ketika organisasi mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas organisasi telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta resiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
III.             ANCAMAN DAN JENIS ANCAMAN
Ancaman keamanan informasi (Information Security Threat) dapat berupa orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.
Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja. Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha. Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang yang tidak sengaja disebabkan oleh orang-orang di dalam ataupun diluar perusahaan.
Terdapat beberapa jenis ancaman dalam keamanan informasi seperti Malicious software, atau Malware yang terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file, atau  menyebabkan sistem tersebut berhenti.
a)      Terdapat beberapa jenis peranti lunak yang berbahaya, antara lain:
a.   Virus, yaitu program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain.
b.  Worm, yaitu program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail.
c.  Trojan Horse, yaitu program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat.
d.   Adware, yaitu program yang memunculkan pesan-pesan iklan yang mengganggu.
e.   Spyware, yaitu program yang mengumpulkan data dari mesin pengguna.
b)      Hacker dan Cracker
Dalam dunia jaringan baik yang bersifat local (intranet) maupun yang bersifat universal (internet) perlu kita sadari bahwa ada saja kemungkinan sistem komputer mendapat ancaman dari orang-orang yang tidak bertanggungjawab.
Hacker adalah orang-orang yang dapat dikategorikan sebagai programmer yang pandai dan senang meng-utak-utik sesuatu yang dirasakan sebagai penghalang terhadap apa yang ingin dicapainya. Bagi seorang hacker perlindungan terhadap sistem komputer adalah tantangan, mereka akan mencari cara bagaimana bisa menembus password, firewall, access-key dan sebagainya. Walau demikian hacker bisa dibedakan atas dua golongan, golongan putih (white hat) dan golongan hitam (black hat).
Cracker adalah orang-orang yang menembus pertahanan keamanan sistem computer hanya untuk merusak, mencari keuntungan pribadi dan merugikan pemilik sistem komputer. Hacker golongan hitam sebenarnya bisa dikategorikan sebagai cracker.
Hacker dan Cracker keduanya tetap melakukan tindakan yang melanggar aturan yaitu menembus pertahanan keamanan sistem komputer karena tidak mendapat hak akses

c)      Jenis-jenis Gangguan Komputer
Berikut ini adalah daftar dari gangguan keamanan pada jaringan komputer.
  1. Denial of Service (DoS) : serangan yang bertujuan untuk menggagalkan pelayanan sistem jaringan kepada pengguna-nya yang sah, misalnya pada sebuah situs e-commerce layanan pemesanan barang selalu gagal,  atau user sama sekali tidak bisa login, daftar barang tidak muncul atau sudah diacak, dsb. Bentuk serangan yang lebih parah disebut DDoS (Distributed Denial of Service) dimana berbagai bentuk serangan secara simultan bekerja menggagalkan fungsi jaringan.
  2. Back Door : suatu serangan (biasanya bersumber dari suatu software yang baru di instal) yang dengan sengaja membuka suatu “pintu belakang” bagi pengunjung tertentu, tanpa disadari oleh orang yang meng-instal software, sehingga mereka dengan mudah masuk kedalam sistem jaringan.
  3. Spoofing : suatu usaha dari orang yang tidak berhak misalnya dengan memalsukan identitas, untuk masuk ke suatu sistem jaringan, seakan-akan dia adalah user yang berhak.
  4. Man in the Middle : seorang penyerang yang menempatkan dirinya diantara dua orang yang sedang berkomunikasi melalui jaringan, sehingga semua informasi dari sua arah melewati, disadap, dan bila perlu diubah oleh penyerang tersebut tanpa diketahui oleh orang yang sedang berkomunikasi.
  5. Replay : informasi yang sedang didistribusikan dalam jaringan dicegat oleh penyerang, setelah disadap ataupun diubah maka informasi ini disalurkan kembali ke dalam jaringan, seakan-akan masih berasal dari sumber asli.
  6. Session Hijacking : sessi TCP yang sedang berlangsung antara dua mesin dalam jaringan diambil alih oleh hacker, untuk dirusak atau diubah.
  7. DNS Poisoning : hacker merubah atau merusak isi DNS sehingga semua akses yang memakai DNS ini akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses.
  8. Social Engineering : serangan hacker terhadap user yang memanfaatkan sisi kelemahan dari manusia misalnya dengan cara merekayasa perasaan user sehingga pada akhirnya user bersedia mengirim informasi kepada hacker untuk selanjutnya digunakan dalam merusak sistem jaringan.
  9. Password Guessing : suatu usaha untuk menebak password sehingga pada akhirnya hacker ini bisa menggunakan password tersebut.
  10. Brute Force : suatu usaha untuk memecahkan kode password melalui software yang menggunakan berbagai teknik kombinasi.
  11. Software Exploitation : suatu usaha penyerangan yang memanfaatkan kelemahan atau “bug” dari suatu software, biasanya setelah kebobolan barulah pembuat software menyediakan “hot fix” atau “Service pack” untuk mengatasi bug tersebut.
  12. War Dialing : pelacakan nomer telepon yang bisa koneksi ke suatu modem sehingga memungkinkan penyerang untuk masuk kedalam jaringan.
  13. SYN flood : serangan yang memanfaatkan proses “hand-shaking” dalam komunikasi melalui protokol TCP/IP, sehingga ada kemungkinan dua mesin yang berkomunikasi akan putus hubungan.
  14. Smurfing : suatu serangan yang dapat menyebabkan suatu mesin menerima banyak sekali “echo” dengan cara mengirimkan permintaan echo pada alamat “broadcast” dari jaringan.
  15. Ping of Death : suatu usaha untuk mematikan suatu host/komputer dengan cara mengirim paket besar melalui ping, misalnya dari command-line dari Window ketik: ping –l 65550 192.168.1.x
  16. Port Scanning : usaha pelacakan port yang terbuka pada suatu sistem jaringan sehingga dapat dimanfaatkan oleh hacker untuk melakukan serangan.
  17. Unicode : serangan terhadap situs web melalui perintah yang disertakan dalam url http, misalnya : http://www.xxxx.com/scripts/..%c1%9c../cmd1.exe?/ c+echo..
  18. SQL Injection : serangan yang memanfaatkan karakter khusus seperti ‘ dan ‘ or “ yang memiliki arti khusus pada SQL server sehingga login dan password bisa dilewati.
  19. XSS : cross site scripting, serangan melalui port 80 (url http) yang memanfaatkan kelemahan aplikasi pada situs web sehingga isi-nya bisa diubah (deface).
  20. E-mail Trojans : serangan virus melalui attachment pada e-mail.


IV.       RESIKO KEAMANAN INFORMASI (INFORMATION SECURITY RISK)
Resiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua resiko mewakili tindakan yang tidak terotorisasi. Resiko-resiko seperti ini dibagi menjadi empat     jenis yaitu:
  1. Pengungkapan Informasi yang tidak terotoritasi dan pencurian. Hal ini terjadi ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
  2. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya organisasi mampu melakukan hal tersebut.
  3. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer organisasi tersebut tidak berfungsi.
  4. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak organisasi yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

V.        PERSOALAN E-COMMERCE
a.      Pengertian E-commerce
E-commerce atau electronic commerce (Perdagangan elektronik) adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik seperti internet atau televisi, www, atau jaringan komputer lainnya. E-commerce dapat melibatkan transfer dana elektronik, pertukaran data elektronik, sistem manajemen inventori otomatis, dan sistem pengumpulan data otomatis.
`           Industri teknologi informasi melihat kegiatan e-commerce ini sebagai aplikasi dan penerapan dari e-bisnis (e-business) yang berkaitan dengan transaksi komersial, seperti: transfer dana secara elektronik, SCM (supply chain management), pemasaran elektronik (e-marketing), atau pemasaran online (online marketing), pemrosesan transaksi online (online transaction processing), pertukaran data elektronik (electronic data interchange /EDI), dll.
E-commerce merupakan bagian dari e-business, di mana cakupan e-business lebih luas, tidak hanya sekedar perniagaan tetapi mencakup juga pengkolaborasian mitra bisnis, pelayanan nasabah, lowongan pekerjaan dll. Selain teknologi jaringan www, e-commerce juga memerlukan teknologi basis data atau pangkalan data (databases), surat elektronik (e-mail), dan bentuk teknologi non komputer yang lain seperti halnya sistem pengiriman barang, dan alat pembayaran untuk perdagangan elektronikini.
b.      Beberapa  masalah yang terjadi pada e-commerce  adalah:
1.        Hukum yang kurang berkembang dalam bidang e-commerce.
         Hukum yang kurang berkembang dalam bidang e-commerce juga merupakan salah satu penyebab konsumen merasa ragu-ragu untuk melakukan transaksi pembelian hal ini di karenakan pihak penjual atau Perusahaan tidak memberikan perlindungan/jaminan terhadap konsumen yang melakukan transaksi. Hal ini juga ditunjang dengan belum adanya regulasi yang tepat sasaran yang menjamin system transaksi dalam e-commerce.
         2.    Keamanan dan kepercayaan.
         Dalam e-commerce modal awal yang dimilikki oleh pihak penjual dan pembeli adalah kepercayaan dari masing – masing pihak hal ini dikarenakan dalam proses e-commerce umumya kedua belah pihak tidak saling mengenal secara pribadi. Kepercayaan merupakan fondasi yang kuat untuk menentukan sukses atau tidaknya e-commerce ke depan. Dalam kegiatan transaksi e-commerce konsumen yang diminta untuk memberikan data atau informasi pribadi akan merasa takut untuk melakukannya karena adanya rasa ketidakpercayaan kepada pihak penjual, apakah pihak penjual dapat dipercaya untuk melindungi datanya dan dapat menjaga kerahasiaannya. Selainnya itu apakah kedua belah pihak bisa menentukan keabsahan data dan informasi yang diberikan masing – masing.
                Selain dua hal diatas, dalam e-commerce waspadailah adanya cybercrime dengan pola phising atau pengelabuan. Hal itu terjadi, karena pelaku seringkali berada di  luar  kawasan Indonesia sehingga keberadaannya sulit terdeteksi. Phishing merupakan salah satu bentuk cybercrime berupa penipuan untuk mendapatkan informasi, seperti kata sandi atau password kartu kredit. Kata tersebut diambil dari bahasa inggris fishing. Dimana dalam konteks cybercrime, diartikan sebagai memancing informasi keuangan seseorang.




VI.    KEBIJAKAN KEAMANAN INFORMASI
Dalam mengelola aset informasi sebuah organisasi, para Manajer Teknologi Informasi (TI) atau Chief Information Officer (CIO) membutuhkan kebijakan keamanan informasi, yang memberikan pedoman mengenai prosedur, aturan dan hal-hal lain yang berhubungan dengan pengelolaan informasi.
Berikut ini adalah prinsip-prinsip dasar yang dapat digunakan sebagai panduan bagi pengambilan keputusan untuk membuat kebijakan, prosedur dan aturan lain yang berhubungan dengan keamanan informasi :
1.    Kebijakan keamanan informasi harus sejalan dengan visi dan misi organisasi.
       Upaya pengamanan informasi ditujukan untuk melindungi aset organisasi yang berharga seperti data/informasi, software maupun hardware. Upaya ini secara langsung maupun tidak langsung  dapat memberikan dampak pada citra, reputasi dan bonafiditas organisasi. Namun terkadang beberapa upaya pengamanan informasi dapat menghambat laju gerak organisasi. Hal ini terjadi bila kebijakan, teknologi, aturan dan prosedur yang diterapkan tidak tepat dan sulit dilaksanakan. Agar informasi yang dikelola dapat membantu laju gerak dan mempercepat tercapainya tujuan organisasi, sebuah upaya pengamanan informasi perlu menyelaraskan diri dengan visi dan misi organisasi.
2.    Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen.
Melindungi aset informasi memiliki tingkat kepentingan yang sama dengan melindungi aset fisik atau aset uang organisasi. Namun demikian, tidak ada jaminan upaya pengamanan tersebut dapat menghilangkan 100% resiko. Upaya pengamanan hanya mampu meminimalisir dan/atau mencegah terjadinya resiko.
3.    Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai.
       Upaya pengamanan akan selalu memerlukan biaya, baik biaya langsung maupun biaya tidak langsung. Biaya langsung meliputi pembelian, pemasangan, dan pengelolaan perangkat keamanan. Sedangkan biaya tidak langsung meliputi penurunan performa sistem, pelatihan dan pegawai. Solusi keamanan informasi perlu diterapkan secara pantas dan proporsional sesuai dengan nilai informasinya. Sehingga biaya pengamanan informasi tidak melebihi keuntungan yang akan diperoleh organisasi.
4.    Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen resmi.
Tanggung jawab dan kewenangan para pegawai pengelola informasi, dari tingkat staf sampai dengan manajer, terhadap keamanan informasi perlu didefinisikan secara jelas di dalam internal organisasi maupun lintas organisasi.
5.    Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar organisasi harus dituangkan secara jelas.
Apabila sebuah sistem digunakan oleh user dari luar organisasi, maka pemilik sistem bertanggung-jawab untuk menginformasikan keberadaan dan cakupan usaha pengamanannya agar user luar tersebut memiliki kepercayaan terhadap sistem yang dia gunakan. Pengguna sistem pun akan memiliki tanggung-jawab untuk bertindak cepat dan terkoordinasi untuk mencegah terjadinya kebocoran informasi atau kerusakan sistem.
6.    Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi.
       Upaya pengamanan adalah sebuah proses yang terus-menerus, ibarat mata rantai yang terhubung sambung menyambung. Upaya penerapan pengamanan harus mempertimbangkan berbagai faktor dari dalam maupun dari luar bidang keamanan informasi.
7.    Melakukan evaluasi keamanan informasi secara periodik.
Sebuah sistem informasi dan lingkungan implementasinya merupakan hal yang dinamis. Perubahan-perubahan cepat terjadi yang dipicu oleh munculnya teknologi baru, terjadi perubahan topologi jaringan, munculnya jenis ancaman baru, dan/atau perubahan peta bisnis. Usaha pengamanan informasi yang sebaik apapun tidak akan pernah mampu mengatasi seluruh perubahan itu tanpa ikut melakukan perubahan-perubahan sesuai dengan fakta dilapangan.
8.    Sosialisasi kebijakan keamanan informasi.
       Usaha pengamanan informasi memiliki keterkaitan dengan lingkungan sosial organisasi. Sehingga agar upaya pengamanan tersebut dapat mencapai sasaran, dibutuhkan sosialisasi kebijakan keamanan informasi organisasi kepada para user, seluruh pegawai, para pengelola dan pembuat informasi.

VII.     PENGENDALIAN TEKNIS ,  FORMAL DAN INFORMAL
Pengendalian adalah mekanisme yang diterapkan baik untuk melindungi organisasi dari resiko atau meminimalkan dampak resiko tersebut pada organisasi jika resiko tersebut terjadi.

a)      Pengendalian dibagi menjadi tiga kategori, yaitu :
1.         Pengendalian Teknis (technical control)  
Pengendalian teknis adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selam masa siklus penyusunan sistem. Di dalam pengendalian teknis, jika melibatkan seorang auditor internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
2.      Pengendalian Akses
Pengendalian akses merupakan dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi. Hal ini dikarenakan jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka perusakan tidak dapat dilakukan.
Pengendalian  akses dilakukan melalui proses tiga tahap yang mencakup:
a.         Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
b.         Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna melakukan verikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
c.         Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat memperoleh otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat memperoleh otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (access control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber daya informasi yang terdapat di dalam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.
         d.   Sistem Deteksi Gangguan
Sistem deteksi gangguan adalah cara mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam organisasi, akses ke dalam data yang sensitif, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profil seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
         e.         Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs jaringan (web) eksternal organisasi dengan jaringan internal organisasi yang berisikan data sensitif dan sistem informasi. Cara lain adalah dengan menyediakan kata sandi kepada mitra organisasi yang memungkinkannya memasuki jaringan internal dari internet.
Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ke dan dari organisasi tersebut dan internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan organisasi dan bukan pengaman terpisah untuk masing-masing komputer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka.
Ada tiga jenis firewall, yaitu:
1)      Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan tabel data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses tabel-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing komputer yang terhubung dengan internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya organisasi tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu tabel akses router, adalah salah satu metode yang digunakan untuk pembajak untuk menipu router.
2)      Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara internet dan jaringan organisasi tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3)      Firewall Tingkat Aplikasi. Firewall  ini berlokasi antara router dan komputer yang menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari komputer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat meminta informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa  apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.

d.   Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
e.                   Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Organisasi dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.
f.                   Meletakkan Pengendalian Teknis Pada Tempatnya
Dari daftar panjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Organisasi biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.
1.      Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktek yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
2.      Pengendalian  Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan organisasi memahami serta mendukung program keamanan tersebut.




VIII. MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian di atas membutuhkan biaya, sebab bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa organisasi terdapat pula pertimbangan-pertimbangan lain.
IX.    DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk manajemen resiko.
          Di Indonesia, pemerintah telah mengeluarkan undang-undang yang mengatur transaksielektronikini, yaitu UU Nomor 11 Tahun 2008 tentang  Informasi dan Transaksi Elektronik (UUITE). Undang-undang Informasi dan Transaksi Elektronik adalah ketentuan yang berlaku untuk setiap orang yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah  hukum  Indonesia dan merugikan kepentingan Indonesia.
a)      Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu:
1.        Pengaturan mengenai informasi dan transaksi elektronik.
 Pengaturan mengenai informasi dan transaksi elektronik mengacu pada beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi yang diatur, antara lain:
a.       pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE);
b.      tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE);
c.       penyelenggaraan sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU ITE); dan 4. penyelenggaraan sistem elektronik (Pasal 15 & Pasal 16 UU ITE);
2.        Pengaturan mengenai perbuatan yang dilarang.
       Beberapa materi perbuatan yang dilarang (cybercrimes) yang diatur dalam UU ITE, antara lain:
a.    konten ilegal, yang terdiri dari, antara lain: kesusilaan, perjudian, penghinaan/pencemaran nama baik, pengancaman dan pemerasan (Pasal 27, Pasal 28, dan Pasal 29 UU ITE);
b.   akses ilegal (Pasal 30);
c.    intersepsi ilegal (Pasal 31);
d.   gangguan terhadap data (data interference, Pasal 32 UU ITE);
e.    gangguan terhadap sistem (system interference, Pasal 33 UU ITE);
f.    penyalahgunaan alat dan perangkat (misuse of device, Pasal 34 UU ITE);
Dalam beberapa tahun terakhir, bencana baik dari alam maupun manusia menjadi salah satu ancaman bagi keberlangsungan bisnis para pelaku usaha. Para pemangku kepentingan di setiap sektor industri pun dituntut untuk bisa menerapkan sistem yang mampu mencegah efek yang jauh lebih besar ketika bencana tersebut terjadi dan mengganggu keberlangsungan usaha para pelaku industri.
Dalam hal ini, sistem Teknologi Informasi (IT) memiliki peran yang sangat strategis dalam rangka mendukung pertumbuhan dan keberlangsungan perusahaan di tengah persaingan usaha yang semakin ketat. Pencegahan bencana yang dapat mengganggu keberlangsungan operasional serta layanan perusahaan dapat dicegah salah satunya dengan memiliki Data Recovery Center (DRC).
Beberapa sektor industri salah satunya perbankan, sudah mulai melakukan antisipasi terhadap risiko dalam pemanfaatan teknologi informasi yaitu dengan menerbitkan Peraturan Bank Indonesia Nomor 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank umum. Peraturan tersebut diharapkan akan mampu memastikan efektifitas, efisiensi dan keamanan operasional Teknologi Informasi.

X.      MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
         Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.
XI.    MANAJEMEN KEBERLANGSUNGAN BISNIS
            Manajemen keberlangsungan bisnis (bussines continuity management – BCM) adalah aktifitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer, aktifitas ini disebut perencanaan bencana (disaster planing), namun istilah yang lebih positif perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam perencanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis, formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi organisasi.
         Banyak organisasi telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :
a.       Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.
b.      Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan. Cadangan ini dapat diperoleh melalui kombinasi dari :
  1. Redudansi. Peranti keras, peranti lunak dan data diduplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
  2. Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
  3. Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan namun tidak mencakup fasilitas komputer.
c.       Rencana catatan penting. Catatan penting (vital records) organisasi adalah dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk meneruskan bisnis organisasi tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, cadanhan harus disimpan di lokasi. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.
Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarkan sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis dasar, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi organisasi untuk digunakan sebagai titik awal atau tolak ukur.















KESIMPULAN DAN SARAN

A. Kesimpulan

1.         Perlu adanya pengendalian dalam menjaga keamanan informasi
2.         Diperlukan Strategi untuk menjaga keamanan sumber daya informasi agar tetap aman
3.         Adanya beragam ancaman yang dapat menghancurkan / membobol Keamanan Informasi
4.         Berbagai macam risiko yang dapat terjadi akibat tindakan tidak terotorisasi dalam pencurian informasi
5.         Kurangnya keamanan dalam bidang hukum dalam kegiatan E-commerce
6.         Pentingnya peran CIO dalam menerapkan kebijakan terkait pengamanan Informasi
7.         Adanya macam macam pengendalian untuk melindungi organisasi dari resiko atau meminimalisir dampak dari resiko tersebut
8.         Mempertimbangkan biaya yang dibutuhkan untuk menerapkan pengendalian
9.         Adanya UUITE untuk mencegah efek yang tidak diinginkan akibat kerugian ketika terjadi bencana
10.       Perusahaan harus mempertimbangkan risiko dan ancaman seperti apa yang akan dihadapi, sehingga dapat secara efektif dan tepat dalam memilih pengendalian
11.       Pentingnya Manajemen Keberlangsungan Bisnis yang harus dimiliki oleh setiap badan usaha / organisasi, untuk mengantisipasi kehilangan aset penting berupa data yang sangat berharga, sehingga jika terjadi bencana suatu ketika, perusahaan masih dapat berkelanjutan.





B. Saran

1.        Dalam hal e-commerce, pemerintah diharapkan lebih proaktif untuk melihat persoalan ini dengan mengembangakan regulasi yang sudah ada agar perlindungan hak – hak konsumen dalam e-commerce dapat terjamin.
2.        Pada Sektor Industri, Business Continuity Plan dan Disaster Recovery Plan perlu untuk dilaksanakan secara efektif dan efisien agar aktifitas bisnis pelaku usaha di setiap sektor industri tetap berjalan saat terjadi gangguan yang tidak terduga sekalipun
3.        Pengawasan terhadap keamanan informasi tidak hanya dilakukan oleh Para Petugas Keamanan saja, tetapi semua yang berkaitan didalamanya juga harus turut mengawasi setiap system yang ada, para pengguna juga harus memperbarui pengetahuan mereka terhadap system informasi, sehingga dapat mencegah terjadinya hal yang tidak diinginkan, seperti kesalahan dalam penggunaaan system atau tindakan hacking yang dilakukan oleh orang orang yang tidak bertanggung jawab.
DAFTAR PUSTAKA

Reymond, MC Leod. 2009. Sistem Informasi Manajemen. Salemba Empat
http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-keamanan.html
https://id.wikipedia.org/wiki/Perdagangan_elektronik
http://blog.pasca.gunadarma.ac.id/2012/05/30/e-commerce-dan-permasalahannya/
http://blog.lintasarta.net/article/dukungan-handal-pengelolaan-drc-untuk-industri-nasional/









Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)